このページの目次
マルウェアはどのように分析および検出されますか?
マルウェアの分析と検出
Juniper ATPクラウドは、パイプライン方式でマルウェアを分析および検出します。分析の結果、ファイルが絶対にマルウェアであることが判明した場合、マルウェアをさらに調査するためにパイプラインを続行する必要はありません。 図1を参照してください。
![Example Juniper ATP Cloud Pipeline Approach for Analyzing Malware](/documentation/us/en/software/atp-cloud/atp-cloud-user-guide/images/g042984.png)
各分析手法で判定番号が作成され、この数値が組み合わされて 0 から 10 までの最終判定番号が作成されます。判定番号は、スコアまたは脅威レベルです。数値が大きいほど、マルウェアの脅威が高くなります。SRXシリーズファイアウォールは、この判定番号をポリシー設定と比較し、セッションを許可または拒否します。セッションが拒否された場合、リセット パケットがクライアントに送信され、パケットはサーバーからドロップされます。
キャッシュ検索
ファイルが分析されると、ファイル ハッシュが生成され、分析の結果がデータベースに格納されます。ファイルがJuniper ATP Cloudクラウドにアップロードされた場合、最初のステップは、そのファイルが以前に参照されたことがあるかどうかを確認することです。存在する場合、保存された判定はSRXシリーズファイアウォールに返され、ファイルを再分析する必要はありません。Juniper ATP Cloudでスキャンされるファイルに加えて、一般的なマルウェアファイルに関する情報も保存されるため、迅速な対応が可能です。
キャッシュ検索はリアルタイムで実行されます。他のすべての手法はオフラインで行われます。つまり、キャッシュ検索で判定が返されない場合、ファイルはクライアントシステムに送信されますが、Juniper ATP Cloudクラウドは残りのパイプライン技術を使用してファイルを調べ続けます。後の分析でマルウェアの判定が返された場合、ファイルとホストにフラグが付けられます。
ウイルス対策スキャン
ウイルス対策ソフトウェアの利点は、ウイルス、トロイの木馬、ワーム、スパイウェア、ルートキットなどの多数の潜在的な脅威に対する保護です。ウイルス対策ソフトウェアの欠点は、常にマルウェアの背後にあることです。ウイルスが最初に来て、ウイルスへのパッチが次に来ます。ウイルス対策は、ゼロデイ脅威よりも、身近な脅威や既知のマルウェアの防御に優れています。
Juniper ATP Cloudは、1つだけでなく複数のウイルス対策ソフトウェアパッケージを使用してファイルを分析します。その後、結果は機械学習アルゴリズムに送られ、偽陽性と偽陰性を克服します。
静的分析
静的分析は、ファイルを実際に実行せずに検査します。基本的な静的解析は簡単で高速(通常約30秒)です。静的分析で検査される領域の例を次に示します。
メタデータ情報 - ファイルの名前、このファイルのベンダーまたは作成者、ファイルがコンパイルされた元のデータ。
使用される手順のカテゴリ - ファイルは Windows レジストリを変更していますか?ディスク I/O API に触れていますか?
ファイルエントロピー—ファイルはどの程度ランダムですか?マルウェアの一般的な手法は、コードの一部を暗号化し、実行時に復号化することです。多くの暗号化は、このファイルがマルウェアであることを強く示しています。
静的分析の出力は機械学習アルゴリズムに送られ、判定の精度が向上します。
動的分析
ファイルの検査に費やされる時間の大部分は、動的分析に費やされます。 サンドボックスと呼ばれることが多い動的分析では、ファイルが安全な環境で実行されるときに調査されます。この分析中に、通常は仮想マシンにオペレーティング システム環境が設定され、すべてのアクティビティを監視するツールが開始されます。ファイルはこの環境にアップロードされ、数分間実行できます。割り当てられた時間が経過すると、アクティビティの記録がダウンロードされ、機械学習アルゴリズムに渡されて判定が生成されます。
高度なマルウェアは、マウスの動きなどの人間の介入がないため、サンドボックス環境を検出できます。Juniper ATP Cloudは、さまざまな 欺瞞技術 を使用して、マルウェアをだまして、これが実際のユーザー環境であると認識させます。たとえば、Juniper ATP Cloudで次のことが可能になります。
マウスの動き、キーストロークのシミュレーション、一般的なソフトウェアパッケージのインストールと起動など、ユーザー操作の現実的なパターンを生成します。
保存された資格情報、ユーザーファイル、インターネットにアクセスできる現実的なネットワークなど、価値の高い偽のターゲットをクライアントに作成します。
オペレーティングシステムに脆弱な領域を作成します。
欺瞞技術自体が、誤検知を減らしながら検出率を大幅に向上させます。また、マルウェアにより多くのアクティビティを実行させるため、ファイルが実行されているサンドボックスの検出率も向上します。ファイルの実行が多いほど、マルウェアであるかどうかを検出するためにより多くのデータが取得されます。
機械学習アルゴリズム
ジュニパーATPクラウドは、独自の機械学習実装を使用して分析をサポートします。機械学習はパターンを認識し、情報を関連付けてファイル分析を改善します。機械学習アルゴリズムは、数千のマルウェアサンプルと数千のグッドウェアサンプルの機能でプログラムされています。マルウェアがどのように見えるかを学習し、脅威の進化に合わせてよりスマートになるように定期的に再プログラムされます。
脅威レベル
Juniper ATP Cloudは、マルウェアがないかスキャンされたファイルの脅威レベルと感染したホストの脅威レベルを示すために、0〜10の数値を割り当てます。 表 1 を参照してください。
脅威レベル |
定義 |
---|---|
0 |
きれい;アクションは必要ありません。 |
1 - 3 |
低い脅威レベル。 |
4 - 6 |
脅威レベルは中程度。 |
7 -10 |
高い脅威レベル。 |
脅威レベルの詳細については、Juniper ATP Cloud Web UIのオンラインヘルプを参照してください。
ライセンス
ジュニパーATPクラウドには、無料、ベーシック(フィードのみ)、プレミアムの3つのサービスレベルがあります。無料版にはライセンスは必要ありませんが、ベーシックレベルとプレミアムレベルのライセンスを取得する必要があります。
Juniper ATP Cloudライセンスの詳細については、 Juniper Advanced Threat Prevention(ATP)クラウドのライセンスを参照してください。ライセンス管理に関する一般的な情報については、 『ライセンスガイド』 を参照してください。詳細については、製品のデータシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。